comment ça s'appelle: SSH + SSH

Le
Mihamina (R12y) Rakotomandimby
Bonjour,
J'ai une machine au bureau derriere une machine directement connectée au
net.
Pour y acceder, je dois donc faire un premier SSH sur celle directement
connectée au Net, puis de là, un autre vers ma machine locale.

J'ai un compte utilisateur simple sur celle directement connectée au net, et
je suis (j'ai la possibilité d'etre) root sur ma machine (la seconde).

J'imagine bien que c'est un problème assez répandu et qu'il existe
certainement un moyen de simplifier les choses. Il me manque juste des mots
clés pour chercher. COmment cet état des chose s'appelle? "double SSH"?

Merci d'avance.
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Doug713705
Le #730388
Le vendredi 9 mars 2007 21:13, Mihamina (R12y) Rakotomandimby s'est exprimé
de la sorte sur fr.comp.os.unix :

J'imagine bien que c'est un problème assez répandu et qu'il existe
certainement un moyen de simplifier les choses. Il me manque juste des
mots clés pour chercher. COmment cet état des chose s'appelle? "double
SSH"?...


ssh over ssh ?

--
@+
Doug [Linux user #307925] - Slackware RuleZ ;-)
[Pourquoi t'es qui, qu'est ce que tu fais par où ?]
-- Pour me contacter enlever no-spam (2X) --

lhabert
Le #730387
R12y :

Bonjour,
J'ai une machine au bureau derriere une machine directement connectée au
net.
Pour y acceder, je dois donc faire un premier SSH sur celle directement
connectée au Net, puis de là, un autre vers ma machine locale.

J'ai un compte utilisateur simple sur celle directement connectée au net,


Tu peux établir une connexion ssh permanente entre ces deux machines, qui
établit un tunnel d'un port quelconque XXXX de la machine rebond A vers le
port 22 de ta machine B. Ce qui se fait depuis la machine A avec :

ssh -N -L :XXXX:B:22 B

(je te le fais faire depuis B histoire de pouvoir forcer à ce que le port
XXXX soit accessible depuis l'extérieur (c'est l'effet du « : » avant le
« 22 »), et non pas seulement depuis la machine A, comme c'est souvent le
cas par défaut).

Ensuite, de l'extérieur, tu te connectes au port XXXX de la machine rebond,
et ploum.

COmment cet état des chose s'appelle? "double SSH"?...


Forward de port.

lhabert
Le #730386
J'oubliais : avant de mettre ça en oeuvre, demande l'aval de
l'administrateur de la machine rebond. Il y a des paranos que ce genre de
bidouilles fait criser...
Mihamina (R12y) Rakotomandimby
Le #730385
Luc Habert wrote:

J'oubliais : avant de mettre ça en oeuvre, demande l'aval de
l'administrateur de la machine rebond. Il y a des paranos que ce genre de
bidouilles fait criser...


En fait, normalement, il est censé meme me forwarder une plage de port vers
certains port de ma machine, pour que je puisse travailler de l'exterieur.
La machine de rebond est sous FreeBSD. Et il me dit que pour que le
forwarding prenne effet, il doit redemmarer la machine. Il n'a pas envie.
Donc je dois lui proposer autre chose, et ce système de ssh forwarding est
un/le moindre mal.

Merci pour les indications.

talon
Le #730384
"Mihamina (R12y) Rakotomandimby"
Luc Habert wrote:

J'oubliais : avant de mettre ça en oeuvre, demande l'aval de
l'administrateur de la machine rebond. Il y a des paranos que ce genre de
bidouilles fait criser...


En fait, normalement, il est censé meme me forwarder une plage de port vers
certains port de ma machine, pour que je puisse travailler de l'exterieur.
La machine de rebond est sous FreeBSD. Et il me dit que pour que le
forwarding prenne effet, il doit redemmarer la machine. Il n'a pas envie.



C'est un sacré clown!
sysctl -w net.inet.ip.forwarding=1
fait ce qu'il faut sans rebooter.

Donc je dois lui proposer autre chose, et ce système de ssh forwarding est
un/le moindre mal.

Merci pour les indications.


--

Michel TALON


Nicolas George
Le #730383
Michel Talon wrote in message
C'est un sacré clown!


C'est sûr.

sysctl -w net.inet.ip.forwarding=1
fait ce qu'il faut sans rebooter.


S'il y a du masquerading dans l'histoire, ce qui m'a l'air assez clair en
l'occurrence, ça va être un poil plus complexe, quand même.

talon
Le #730382
Nicolas George
Michel Talon wrote in message
C'est un sacré clown!


C'est sûr.

sysctl -w net.inet.ip.forwarding=1
fait ce qu'il faut sans rebooter.


S'il y a du masquerading dans l'histoire, ce qui m'a l'air assez clair en
l'occurrence, ça va être un poil plus complexe, quand même.


Comme ça par exemple:
vi /etc/pf.conf et ajouter
nat on bfe0 from 192.168.1.0/24 to any -> 134.157.10.41
pfctl -f /etc/pf.conf

et vérifier
pfctl -s nat


--

Michel TALON


Matthieu Moy
Le #730139
"Mihamina (R12y) Rakotomandimby" writes:

Bonjour,
J'ai une machine au bureau derriere une machine directement connectée au
net.
Pour y acceder, je dois donc faire un premier SSH sur celle directement
connectée au Net, puis de là, un autre vers ma machine locale.

J'ai un compte utilisateur simple sur celle directement connectée au net, et
je suis (j'ai la possibilité d'etre) root sur ma machine (la seconde).

J'imagine bien que c'est un problème assez répandu et qu'il existe
certainement un moyen de simplifier les choses. Il me manque juste des mots
clés pour chercher. COmment cet état des chose s'appelle? "double SSH"?...


Je suis pas du tout sur que ça fasse ce que tu veux, mais jettes un
coup d'oeil à http://penguin.fr/sshproxy/about.html

Sinon, un script wrapper doit pouvoir faire l'affaire, en faisant un
truc genre

ssh machine-connectee "ssh machine-derriere-firewall $commande"

(l'ironie du sort étant que j'écris en ce moment même depuis un
"double ssh", mais c'est pas moi qui ai configuré la machine relai,
elle forwarde toute seule).


Attention aux solutions à base de forward de port, ton client ssh va
s'emeler les pinceaux sur les authentifications, vu qu'il verra une
clé différente selon le port sur lequel il se connecte sur la même
machine. M'enfin, on doit pouvoir trouver une solution aussi.

--
Matthieu

lhabert
Le #730138
Matthieu Moy :

Sinon, un script wrapper doit pouvoir faire l'affaire, en faisant un
truc genre

ssh machine-connectee "ssh machine-derriere-firewall $commande"


Et pour de l'interactif :

ssh -t machine-connectee 'ssh machine-derriere-firewall'

. Ça va si tu as des clefs, mais sinon, il faut taper deux fois le mot de
passe, ça commence à devenir lourd. Les chainages d'escape aussi, ça doit
être pénible.

Attention aux solutions à base de forward de port, ton client ssh va
s'emeler les pinceaux sur les authentifications, vu qu'il verra une
clé différente selon le port sur lequel il se connecte sur la même
machine.


Une solution : dans le .ssh/config :

Host ploum
Hostname nomdelamachinerebond
UserKnownHostsFile ~/.ssh/known_hosts.alt # je sais pas si il expanse le ~
# au besoin, expanser à la main
Port XXXX

et faire un simple « ssh ploum » pour se connecter.

Sébastien Kirche
Le #730137
Le 9 mars 2007 à 21:13, Mihamina Rakotomandimby s'est exprimé ainsi :

J'imagine bien que c'est un problème assez répandu et qu'il existe
certainement un moyen de simplifier les choses. Il me manque juste des
mots clés pour chercher. COmment cet état des chose s'appelle? "double
SSH"?...


J'arrive à faire ce genre de chose avec Emacs pour éditer de fichiers
distants; dans la doc on parle de « ssh multihop ». Je pense que c'est
le mot qui te manquait.
--
Sébastien Kirche

Publicité
Poster une réponse
Anonyme